Cloud DNS 개요

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

이 페이지에서는 Cloud DNS의 특징과 기능을 간략히 설명합니다. Cloud DNS는 비용 효율적인 방식으로 도메인 이름을 전역 DNS에 게시하는 복원력이 우수한 고성능 전역 DNS(도메인 이름 시스템) 서비스입니다.

DNS는 IP 주소 및 기타 데이터를 저장하고 이름별로 조회할 수 있는 계층형 분산 데이터베이스입니다. Cloud DNS를 사용하면 자체 DNS 서버와 소프트웨어 관리 부담 없이 DNS에 영역 및 레코드를 게시할 수 있습니다.

Cloud DNS는 공개 및 비공개 관리형 DNS 영역을 모두 제공합니다. 공개 영역은 공개 인터넷에 표시되고, 비공개 영역은 지정된 하나 이상의 Virtual Private Cloud(VPC) 네트워크에만 표시됩니다. 영역에 대한 자세한 내용은 DNS 영역 개요를 참조하세요.

Cloud DNS에서는 프로젝트 수준과 개별 DNS 영역 수준(미리보기에서 제공)에서 Identity and Access Management(IAM) 권한을 지원합니다. 개별 리소스 IAM 권한을 설정하는 방법에 대한 자세한 내용은 특정 IAM 권한이 있는 영역 만들기를 참조하세요.

일반적인 DNS 용어 목록은 일반 DNS 개요를 참조하세요.

Cloud DNS가 빌드된 핵심 용어 목록은 핵심 용어를 참조하세요.

Cloud DNS 사용을 시작하려면 빠른 시작을 참조하세요.

직접 사용해 보기

Google Cloud를 처음 사용하는 경우 계정을 만들어 실제 시나리오에서 Cloud DNS의 성능을 평가할 수 있습니다. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

Cloud DNS 무료로 사용해 보기

공유 VPC 고려사항

Cloud DNS 관리형 비공개 영역, Cloud DNS 전달 영역, Cloud DNS 피어링 영역을 공유 VPC에 사용하려면 호스트 프로젝트에 영역을 만든 후 해당 영역의 승인된 네트워크 목록에 하나 이상의 공유 VPC 네트워크를 추가해야 합니다. 또는 프로젝트 간 바인딩을 사용하여 서비스 프로젝트에서 영역을 설정할 수 있습니다.

자세한 내용은 Cloud DNS 비공개 영역 권장사항을 참조하세요.

DNS 전달 방법

Google Cloud는 비공개 영역에 대한 인바운드 및 아웃바운드 DNS 전달을 제공합니다. 전달 영역 또는 Cloud DNS 서버 정책을 만들어 DNS 전달을 구성할 수 있습니다. 두 가지 방법은 다음 표에 요약되어 있습니다.

DNS 전달 Cloud DNS 방법
인바운드

온프레미스 DNS 클라이언트 또는 서버가 Cloud DNS로 DNS 요청을 전송하도록 인바운드 서버 정책을 만듭니다. 그러면 DNS 클라이언트 또는 서버가 VPC 네트워크의 이름 확인 순서에 따라 레코드를 확인할 수 있습니다.

온프레미스 클라이언트는 VPC 네트워크가 승인된 비공개 영역, 전달 영역, 피어링 영역의 레코드를 확인할 수 있습니다. 온프레미스 클라이언트는 Cloud VPN 또는 Cloud Interconnect를 사용하여 VPC 네트워크에 연결합니다.

아웃바운드

VPC 네트워크에서 다음을 수행하도록 VM을 구성할 수 있습니다.

  • 원하는 DNS 네임서버로 DNS 요청을 전송합니다. 네임서버는 동일한 VPC 네트워크, 온프레미스 네트워크, 인터넷에 배치할 수 있습니다.
  • VPC 네트워크에서 사용하도록 승인된 전달 영역의 전달 대상으로 구성된 네임서버에 호스팅된 레코드를 확인합니다. Google Cloud가 트래픽을 전달 대상의 IP 주소로 라우팅하는 방법에 대한 자세한 내용은 전달 대상 및 라우팅 방법을 참조하세요.
  • VPC 네트워크가 모든 DNS 요청에 대체 네임서버를 전송하도록 아웃바운드 서버 정책을 만듭니다. 대체 네임서버를 사용하면 VPC 네트워크의 VM이 더 이상 Cloud DNS 비공개 영역, 전달 영역, 피어링 영역 또는 Compute Engine 내부 DNS 영역의 레코드를 확인할 수 없습니다. 자세한 내용은 이름 확인 순서를 참조하세요.

VPC 네트워크의 인바운드 전달과 아웃바운드 전달을 동시에 구성할 수 있습니다. 양방향 전달을 사용하면 VPC 네트워크의 VM이 온프레미스 네트워크 또는 다른 클라우드 제공업체에서 호스팅하는 네트워크의 레코드를 확인할 수 있습니다. 이러한 유형의 전달을 통해 온프레미스 네트워크의 호스트가 Google Cloud 리소스의 레코드를 확인할 수도 있습니다.

Cloud DNS 제어 영역은 전달 대상 선택 순서를 사용하여 전달 대상을 선택합니다. 일부 경우에 전달 대상에 연결할 수 없거나 충분히 빠르게 응답하지 못하면 아웃바운드 전달 쿼리로 SERVFAIL 오류가 발생할 수 있습니다. 문제 해결 안내는 아웃바운드 전달 쿼리의 SERVFAIL 오류 수신을 참조하세요.

서버 정책을 적용하는 방법에 대한 자세한 내용은 DNS 서버 정책 만들기를 참조하세요. 전달 영역을 만드는 방법은 전달 영역 만들기를 참조하세요.

DNSSEC

Cloud DNS는 관리형 DNSSEC를 지원하여 도메인을 위상 및 캐시 악성 공격으로부터 보호합니다. Google Public DNS와 같은 유효성 검사 리졸버를 사용하면 DNSSEC가 도메인 조회 시 강력한 인증 기능(암호화 아님)을 제공합니다. DNSSEC에 대한 자세한 내용은 DNSSEC 구성 관리를 참조하세요.

액세스 제어

Google Cloud Console의 IAM 및 관리 페이지에서는 DNS 레코드 변경이 허용된 사용자를 관리할 수 있습니다. 사용자가 항목을 변경할 수 있으려면 사용자에게 Google Cloud Console의 권한 섹션에서 편집자 역할(roles/editor)이나 소유자 역할(roles/owner)이 있어야 합니다. 뷰어 역할(roles/viewer)은 Cloud DNS 레코드에 대해 읽기 전용 액세스 권한을 부여합니다.

이러한 권한은 DNS 서비스 관리에 사용할 수 있는 서비스 계정에도 적용됩니다.

관리형 영역에 대한 액세스 제어

프로젝트 소유자 역할 또는 편집자 역할이 있는 사용자는 관리 중인 특정 프로젝트의 관리형 영역을 관리하거나 볼 수 있습니다.

DNS 관리자 역할 또는 DNS 리더 역할(roles/dns.admin 또는 roles/dns.reader)이 있는 사용자는 액세스 권한이 있는 모든 프로젝트에서 관리형 영역을 관리하거나 볼 수 있습니다.

프로젝트 소유자, 편집자, DNS 관리자, DNS 리더는 현재 프로젝트의 모든 VPC 네트워크에 적용된 비공개 영역 목록을 볼 수 있습니다.

성능 및 타이밍

Cloud DNS는 고가용성을 위해 anycast를 사용하여 전 세계의 여러 위치에서 관리형 영역을 제공합니다. 요청은 자동으로 가장 가까운 위치로 라우팅되므로, 지연 시간이 줄어들고 사용자의 권한 이름 조회 성능이 향상됩니다.

변경사항 전파

변경사항은 두 가지 부분으로 전파됩니다. 먼저 API 또는 명령줄 도구를 통해 전송되는 변경사항을 Cloud DNS의 권한 DNS 서버로 푸시해야 합니다. 두 번째로, 레코드의 캐시가 만료되면 DNS 리졸버가 이 변경사항을 선택해야 합니다.

레코드에 설정하는 초 단위로 지정되는 TTL(수명) 값은 DNS 리졸버의 캐시를 제어합니다. 예를 들어, TTL 값을 86400(24시간을 초로 환산한 값)으로 설정하면 DNS 리졸버가 24시간 동안 레코드를 캐시합니다. 일부 DNS 리졸버는 TTL 값을 무시하거나 자체 값을 사용하여 레코드의 전체 전파를 지연시킬 수 있습니다.

짧은 기간이 필요한 서비스 변경을 계획 중이면 항목을 변경하기 전 TTL을 더 짧은 값으로 변경해야 할 수 있습니다. 이 접근방식은 캐싱 기간을 줄이고 새 레코드 설정을 더욱 빠르게 변경할 수 있습니다. 변경 후에는 값을 이전 TTL 값으로 변경하여 DNS 리졸버의 부하를 줄일 수 있습니다.

다음 단계